微软安全升级大动作！Kerberos协议全面强化时间表出炉

Meise

“安全这事儿，就像给家门换锁——老旧的NTLMv1认证用了这么多年，终于要被微软彻底淘汰了！”一位技术博主在社交平台上感慨道。没错，微软这次可是动真格了！2025年刚开年，一系列针对Windows客户端和服务器的安全强化措施便接踵而至，尤其是Kerberos协议的升级和字符串长度限制的调整，让不少IT管理员直呼“得赶紧跟上节奏”。

Kerberos协议：从兼容到强制，时间线敲定
今年1月，微软通过更新KB5037754开启了“默认强制模式”（Enforcement Mode），所有Windows域控制器和客户端在安装更新后，默认会启用更严格的安全行为。不过，管理员仍可通过注册表设置暂时退回兼容模式“保命”。到了2月，随着补丁KB5014754的发布，第三阶段的证书认证强制模式（Full Enforcement Mode）正式上线。若证书无法被唯一映射，系统将直接拒绝认证请求，这意味着那些未提前适配的电脑可能面临断联风险——尤其是依赖Wi-Fi或VPN的场景，专家Richard Hicks曾预警这可能引发“麻烦”。

4月的更新会更严格！补丁KB5037754将彻底移除注册表子项PacSignatureValidationLevel和CrossDomainFilteringLevel的支持，连“兼容模式”的后路都不留。微软还特别点名仍在用Windows XP的用户：赶紧检查Kerberos PAC漏洞的解决方案，否则4月后可能“凉凉”。

字符串长度限制：细节决定成败
除了时间表，微软在2月20日更新了Kerberos策略的“隐藏规则”——主机名到领域（Host-to-Realm）映射的字符串长度被严格限制。虽然组策略编辑器（UI）允许输入最多32,767个字符，但实际生效时，Kerberos客户端只会读取前2,048个字符。更关键的是，UI界面最多显示1,024个字符，管理员若想“偷懒”复制长列表，可能会发现后半截内容直接“消失”。

这一调整主要影响跨域环境，比如Active Directory与MIT信任的Linux或FreeBSD系统交互时，若手动配置了大量SPN后缀或主机列表，超长的字符串可能导致策略失效。微软建议管理员提前检查配置，必要时拆分列表或优化映射规则。

未来计划：2026年的Secure Boot调整
明年1月，微软还将对Secure Boot进行调整。补丁KB5025885会强制吊销“Windows Production PCA 2011”证书，并将其加入UEFI禁止列表（DBX）。这意味着依赖该证书启动的电脑，若未提前安装“Windows UEFI CA 2023”证书，可能会直接“罢工”。微软明确表示，这次更新没有关闭选项，全员强制生效。

安全升级无退路，早准备早安心
从淘汰NTLMv1到Kerberos的层层升级，微软这次的安全路线图堪称“步步紧逼”。无论是企业还是个人用户，都得紧盯时间表，该更新的更新，该适配的适配。毕竟，安全这堵墙一旦有了裂缝，黑客可不会手下留情！